Nell'ottobre 2017 ho avuto l'opportunità di partecipare ad un seminario promozionale per il sistema DeviceLock DLP, dove, oltre alle principali funzionalità di protezione contro le perdite come la chiusura delle porte USB, l'analisi contestuale della posta e degli appunti, è stata implementata la protezione da parte dell'amministratore pubblicizzato. Il modello è semplice e bello: un installatore arriva in una piccola azienda, installa una serie di programmi, imposta una password del BIOS, crea un account amministratore DeviceLock e lascia all'utente locale solo i diritti per gestire Windows stesso e il resto del software amministratore. Anche se c'è un intento, questo amministratore non sarà in grado di rubare nulla. Ma questa è tutta teoria...
Perché in oltre 20 anni di lavoro nel campo dello sviluppo di strumenti per la sicurezza delle informazioni, ero chiaramente convinto che un amministratore possa fare qualsiasi cosa, soprattutto con l'accesso fisico a un computer, quindi la principale protezione contro ciò può essere solo misure organizzative come reporting rigoroso e protezione fisica dei computer contenenti informazioni importanti, quindi immediatamente è nata l'idea di testare la durabilità del prodotto proposto.
Un tentativo di farlo subito dopo la fine del seminario non ha avuto successo; è stata effettuata la protezione contro la cancellazione del servizio principale DlService.exe e non si sono dimenticati nemmeno dei diritti di accesso e della selezione dell'ultima configurazione riuscita, in conseguenza della quale lo hanno eliminato, come la maggior parte dei virus, negando al sistema l'accesso in lettura ed esecuzione. Non ha funzionato.
A tutte le domande sulla protezione dei conducenti probabilmente incluse nel prodotto, il rappresentante dello sviluppatore Smart Line ha affermato con sicurezza che "tutto è allo stesso livello".
Il giorno dopo ho deciso di continuare la mia ricerca e ho scaricato la versione di prova. Sono rimasto subito sorpreso dalla dimensione della distribuzione, quasi 2 GB! Sono abituato al fatto che il software di sistema, che di solito è classificato come strumento di sicurezza delle informazioni (ISIS), di solito ha dimensioni molto più compatte.
Dopo l'installazione, sono rimasto sorpreso per la seconda volta: anche la dimensione del suddetto eseguibile è piuttosto grande: 2 MB. Ho subito pensato che con un volume del genere ci fosse qualcosa a cui aggrapparsi. Ho provato a sostituire il modulo utilizzando la registrazione ritardata: era chiuso. Ho cercato nei cataloghi dei programmi e c'erano già 13 driver! Ho controllato le autorizzazioni: non sono chiuse per modifiche! Ok, tutti sono bannati, sovraccarichiamo!
L'effetto è semplicemente incantevole: tutte le funzioni sono disabilitate, il servizio non si avvia. Che tipo di autodifesa esiste, prendi e copia quello che vuoi, anche su unità flash, anche in rete. Emerse il primo grave inconveniente del sistema: l'interconnessione dei componenti era troppo forte. Sì, il servizio dovrebbe comunicare con gli autisti, ma perché bloccarsi se nessuno risponde? Di conseguenza, esiste un metodo per aggirare la protezione.
Avendo scoperto che il servizio miracoloso è così delicato e sensibile, ho deciso di verificarne le dipendenze da librerie di terze parti. Qui è ancora più semplice, l'elenco è ampio, cancelliamo semplicemente la libreria WinSock_II a caso e vediamo un'immagine simile: il servizio non è stato avviato, il sistema è aperto.
Di conseguenza, abbiamo la stessa cosa descritta dal relatore al seminario, una recinzione potente, ma che non racchiude l'intero perimetro protetto per mancanza di denaro, e nell'area scoperta ci sono semplicemente cinorrodi spinosi. In questo caso, tenendo conto dell'architettura del prodotto software, che di default non implica un ambiente chiuso, ma una varietà di diversi connettori, intercettatori, analizzatori di traffico, si tratta piuttosto di una staccionata, con molte strisce avvitate l'esterno con viti autofilettanti e molto facile da svitare. Il problema con la maggior parte di queste soluzioni è che con un numero così elevato di potenziali buchi, c’è sempre la possibilità di dimenticare qualcosa, perdere una relazione o compromettere la stabilità implementando senza successo uno degli intercettori. A giudicare dal fatto che le vulnerabilità presentate in questo articolo sono semplicemente superficiali, il prodotto ne contiene molte altre la cui ricerca richiederà un paio d'ore in più.
Inoltre, il mercato è pieno di esempi di implementazione competente della protezione dallo spegnimento, ad esempio i prodotti antivirus domestici, dove l'autodifesa non può essere semplicemente aggirata. Per quanto ne so, non erano troppo pigri per sottoporsi alla certificazione FSTEC.
Dopo aver condotto diverse conversazioni con i dipendenti della Smart Line, sono stati trovati diversi luoghi simili di cui non avevano nemmeno sentito parlare. Un esempio è il meccanismo AppInitDll.
Potrebbe non essere il più profondo, ma in molti casi ti consente di fare a meno di entrare nel kernel del sistema operativo e di non comprometterne la stabilità. I driver nVidia sfruttano appieno questo meccanismo per regolare la scheda video per un gioco specifico.
La totale mancanza di un approccio integrato alla costruzione di un sistema automatizzato basato sul DL 8.2 solleva interrogativi. Si propone di descrivere al cliente i vantaggi del prodotto, verificare la potenza di calcolo dei PC e dei server esistenti (gli analizzatori di contesto richiedono molte risorse e i computer all-in-one da ufficio ormai di moda e i nettop basati su Atom non sono adatti in questo caso) e stendervi semplicemente il prodotto. Allo stesso tempo, durante il seminario non sono stati nemmeno menzionati termini come “controllo degli accessi” e “ambiente software chiuso”. Si è detto della crittografia che, oltre alla complessità, solleverà interrogativi da parte dei regolatori, anche se in realtà non ci sono problemi con essa. Le domande sulla certificazione, anche presso FSTEC, vengono messe da parte a causa della loro presunta complessità e lunghezza. In qualità di specialista della sicurezza informatica che ha più volte preso parte a tali procedure, posso dire che nel processo di esecuzione vengono rivelate molte vulnerabilità simili a quelle descritte in questo materiale, perché gli specialisti dei laboratori di certificazione hanno una formazione specializzata seria.
Di conseguenza, il sistema DLP presentato può eseguire un insieme molto limitato di funzioni che garantiscono effettivamente la sicurezza delle informazioni, generando al contempo un notevole carico di calcolo e creando un senso di sicurezza per i dati aziendali tra i dirigenti aziendali inesperti in questioni di sicurezza delle informazioni.
Può davvero proteggere dati di grandi dimensioni solo da un utente non privilegiato, perché... l'amministratore è perfettamente in grado di disattivare completamente la protezione e, per grandi segreti, anche un giovane responsabile delle pulizie sarà in grado di scattare con discrezione una foto dello schermo o persino ricordare l'indirizzo o il numero di carta di credito guardando lo schermo sopra quello di un collega spalla.
Inoltre, tutto ciò è vero solo se è impossibile per i dipendenti avere accesso fisico all'interno del PC o almeno al BIOS per attivare l'avvio da un supporto esterno. Quindi anche BitLocker, che difficilmente verrà utilizzato nelle aziende che pensano solo a proteggere le informazioni, potrebbe non essere d'aiuto.
La conclusione, per quanto banale possa sembrare, è un approccio integrato alla sicurezza delle informazioni, che includa non solo soluzioni software/hardware, ma anche misure organizzative e tecniche per escludere riprese fotografiche/video e impedire l'ingresso non autorizzati di "ragazzi dalla memoria fenomenale". il sito. Non dovresti mai fare affidamento sul prodotto miracoloso DL 8.2, pubblicizzato come una soluzione in un solo passaggio alla maggior parte dei problemi di sicurezza aziendale.
Fonte: habr.com